On 29/08/2025 20:25, Syafril Hermansyah via Mdaemon-L
([email protected]) wrote:
On 8/29/25 15:15, Andriansyah via Mdaemon-L wrote:
Bagaimana caranya memastikan/mengetahui email server yg kita kelola
bebas dari email spoofing.
Pastikan bahwa server hanya membolehkan relay untuk authenticate
sender saja dan aktifkan SPF/DKIM/DMARC verification.
Karena Client kami menginformasikan banyak email spoofing dgn
mengatasnamakan domain mereka yg sumber kirimnya berasal dari domain2
mail server yg kita miliki.
Kalau untuk mencegah domain kita tidak di palsu (spoof) orang lain
maka aktifkan Protokol antispoofing dengan policy = reject.
Protokol antispoofing ada 3 macam: SPF, DKIM dan DMARC.
Policy=reject di SPF artinya pakai policy FAILED.
https://en.wikipedia.org/wiki/Sender_Policy_Framework#Qualifiers
Qualifiers
- (minus) for FAIL, the mail should be rejected (see below).
SPF ada 2 macam:
SPF domain dan SPF host.
SPF domain diterapkan untuk (sender) domain, sementara SPF host
diterapkan untuk (sender) server host.
https://www.mail-archive.com/[email protected]/msg47287.html
Contoh:
SPF domain
dutaint.co.id. 7162 IN TXT "v=spf1
a:dds31.dutaservisindo.co.id mx:relayhost.dutaint.com
include:relayhost.dutaint.com -all"
SPF host
dip2.dutaint.com. 259200 IN TXT "v=spf1 a mx
include:relayhost.dutaint.com -all"
DKIM terkini tidak punya policy, dia netral, perlu DMARC untuk
penerapan Policy.
Artinya untuk menerapkan policy DKIM maka perlu mengaktifkan DMARC
dengan policy = reject dengan alignment DKIM.
DMARC merupakan pelengkap/pengembangan dari SPF dan DKIM.
https://www.mail-archive.com/[email protected]/msg47356.html
Konsep domain otentikasi (domain authentication) untuk proteksi terhadap
domain spoofing (pemalsuan domain) sbb:
1. SPF melakukan proteksi terhadap MAIL FROM Identity (Sender domain,
Envelope domain) atau HELO/EHLO Identity jika sendernya NULL return-path
akan membandingkannya dengan SPF host.
2. DKIM melakukan proteksi terhadap From identity membandingkannya
dengan d= (domain tag) di DKIM Signature DNS, disamping membandingkan
antara DKIM signature di message dengan DKIM signature di DNS.
DMARC punya 2 macam alignment: SPF alignment dan DKIM alignment, yang
policynya bisa Strict atau Relax.
ASPF=R atau ASPF=S
ADKIM=R atau ADKIM=S
https://www.valimail.com/blog/what-is-dmarc-alignment/
https://dmarcian.com/alignment/
DMARC policy reject artinya di set p=reject.
https://easydmarc.com/blog/what-is-a-dmarc-policy/
Contoh DMARC yang sudah menerapkan SPF/DKIM alignment dengan policy
reject
_dmarc.lionair.co.id. 43200 IN TXT "v=DMARC1; p=reject;
sp=none; aspf=s; adkim=s; rua=mailto:[email protected]";
Dan yg mereka miliki hanyalah berdasarkan Dmarc report.
DMARC report itu dikirim oleh server (domain) penerima (dalam hal ini
adalah server Anda) mengenai penerimaan mail domain sender (mereka),
ditolak/quarantinea atau diterima sesuai dengan ketentuan (policy)
pemilik domain.
dan bagaimana kah cara membaca Dmarc report?
DMARC report ada 2 macam:
DMARC compliance report, ditujukan ke RUA address dan DMARC Forensic
report ditujukan ke RUF address.
https://dmarcian.com/rua-vs-ruf/
Kalau mereka bisa punya DMARC report artinya RUA atau RUF dialamatkan
ke email address mereka.
Cara membaca yang mudah melalui DMARC report analyzer online
https://mxtoolbox.com/DmarcReportAnalyzer.aspx
https://dmarcian.com/xml-to-human-converter/
https://easydmarc.com/tools/dmarc-report-analyzer
------------------------------------------------------------------------
Dear Pak Syafril,
Terimakasih atas arahan dan penjelasannya,saya akan coba pelajari dan
terapkan.
Thanks and regards
Andriansyah
--
--[mdaemon-l]----------------------------------------------------------
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia
Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.com
Berlangganan: Kirim mail ke [email protected]
Henti Langgan: Kirim mail ke [email protected]
Versi terakhir: MDaemon 25.0.3, SecurityGateway 11.0.2
